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Анализ перемешивающих свойств операций, 
заданных на одном носителе 


В статье анализируется возможность применения атак гомоморфизма (групповых атак) к блочным 
шифрам в случае, когда в раундовых функциях используется чередование различных операций, таких 
как операции модульного и побитового сложения, модульного умножения. Получены результаты, 
характеризующие перемешивающие свойства операций побитового и модульного сложения на множестве 
двоичных векторов, а также результаты, характеризующие перемешивающие свойства операций 


сложения и умножения в кольце Я . 


Введение 


Основой обеспечения криптографической защиты информации с ограниченным 
доступом являются симметрические криптосистемы, среди которых наиболее широкое 
применение находят блочные шифры (БШ). Важнейшее требование к современным БШ — 
это практическая криптографическая стойкость относительно всех известных в настоящее 
время криптоаналитических атак. 

Традиционный подход построения ЫШ основан на общепринятых принципах - рас- 
сеивании и перемешивании, сформулированных в основополагающей работе К. Шеннона [1]. 
Под рассеиванием подразумевается влияние одного знака открытого текста на многие 
знаки шифрованного текста, что позволяет «сгладить» статистические свойства откры- 
тых сообщений. Принципом перемешивания К. Шеннон назвал разрушение статисти- 
ческих зависимостей между открытым и шифрованным текстом при криптографическом 
преобразовании. Поэтому наиболее распространенным методом построения ЫШ на сегод- 
няшний день является метод, основанный на применении так называемых итерацион- 
ных схем, в которых шифрующие преобразования реализуются в виде суперпозиции до- 
статочно простых преобразований (с точки зрения программной реализации и вычисли- 
тельной сложности), каждое из которых вносит небольшой вклад в существенное 
суммарное рассеивание и перемешивание. Последовательность таких преобразований 
(примитивов), которая многократно повторяется в БШ, обычно называется раундом 
(циклом). Тогда необходимая криптографическая стойкость такого шифра достигается 
за счет применения большого числа простых преобразований, которые в совокупности 
обеспечивают «хорошие» перемешивающие и рассеивающие свойства. 

Одним из общих требований к современным БШ является их обоснованная 
стойкость к аналитическим атакам, которые условно можно разделить на два боль- 
ших класса — алгебраические и статистические методы криптоанализа. Алгебраические 
методы криптоанализа основаны на группировании открытых, шифрованных со- 
общений или ключей БШ в классы эквивалентных (или близких, в том или ином 
смысле) объектов, позволяющем понизить трудоемкость алгоритмов решения (размер- 
ность) соответствующих криптоаналитических задач. Стойкость БШ к подобным методам 
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криптоанализа, получившим в ряде публикаций название методов гомоморфизмов или 
группового криптоанализа [2], [3], как правило, определяется алгебраическими свойст- 
вами различных групп подстановок, связанных с системой раундовых шифрующих пре- 
образований данного БШ. 

В работе [4] рассматривалось действие операции сложения (умножения) в конеч- 
ном поле на смежные классы относительно умножения (сложения). Было показано, что 
действие операции сложения (умножения) на элементы классов смежности относитель- 
но операции умножения (сложения) существенно разрушают структуру соответствующей 
факторгруппы. Исходя из полученных результатов, в указанной работе был сделан вы- 
вод о том, что использование композиции этих операций при построении алгоритма 
шифрования делает его стойким к криптоанализу на основе гомоморфизмов и позволяет 
проектировать итеративные шифры с использованием только операций в конечном 
поле, без необходимости реализовывать дополнительные примитивы [4-6]. 

В современных алгоритмах шифрования в раундовых функциях БШ гораздо 
чаще используются композиции таких операций, как операции модульного и побитового 
сложения, операция модульного умножения. Поэтому не менее актуальной и интерес- 
ной задачей на сегодняшний день является задача исследования перемешивающих свойств 
этих групповых операций, носителем которых является множество двоичных векторов. 

Целью данной работы является анализ возможности применения групповых 
атак (атак гомоморфизма) в случае, когда в раундовых функциях блочного шифра 
используется чередование различных операций, заданных на множестве двоичных 
векторов. 


Вспомогательные обозначения 


Введем следующие обозначения. Здесь и далее под (7.,Ф) будем понимать мно- 
жество векторов длины п с операцией побитового сложения, а под (7..,+) и (7'.,х) — 


аддитивную и мультипликативную группы кольца вычетов ИА э" Каждому целому числу 
2ЕЙ я поставим в соответствие битовый вектор длины и, который является ДВОИЧНЫМ 


представлением этого числа. Таким образом, отождествим множества 7, и Г,. Целое 


Г. 
число и соответствующий ему двоичный вектор будем обозначать одинаково, а из 
контекста будет понятно, какое именно представление используется. 

Обозначение вида 


ел а о Е, В (1) 


Вл бит ах бит Ь; бит а; бит Ы бит 
К +1 
будем использовать для битового вектора длины п=У`а, +»`Ь,,‚ У которого слева 
1=1 1=1 
Ь, ‚ произвольных бит, далее а, нулевых бит ит.д. 


Влияние операции модульного сложения на структуру 
факторгруппы (у.,®) по ее подгруппе 


Определение 1. Обозначим через С(а,а,,...а,;Ь,Б.,...В,,В,„) подгруппу 
индекса 2“ группы (7.,Ф) ‚ элементы которой содержат К «нулевых» блоков А,...., А, , 


то есть имеют следующую структуру: 
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блок В. 1 блок А, блок В блок А, блок В, блок А; блок В. 


О Е о О р. ЗО ЗО ар ОГ. ев. 


В. бит а; бит Ь, бит а> бит Ь› бит а, бит Ь бит 


где биты из «ненулевых» блоков В,,...,В,‚ принимают произвольные значения, 


[3 [3 
причем У'а,=а, УВ =Ь иа-+Ь+Ь, | =п, а, >0, 6 >0 при 1=2,....К; Б>0, а >0, 


11 1=1 


Ь, >00. 


Лемма 1. В указанных обозначениях: 
а) все подгруппы в (У Ф) имеют структуру 


п? 


Окс а. > 22 9 лее 0 - вы СФ. О 


они А ОО < О ИНН И ОН 
В, биг а; биг Ь, биг а> биг Ь, бит а биг Ь биг 


К +1 
где Уа+Ууь =и, а. >0,Б.>0 при 1=2.,...К В >20, а>0, В, >0; 


11 11 


2 


6) все подгруппы в (7 „з+) имеют структуру 
0 ... 0, 


п-—К бит К бит 
для некоторого К = 0,,...,п. 


Теорема 1. Пусть С(а,,а,,...а,;В,Ь,,...В,,Ь,„) — некоторая подгруппа индекса 
2“ группы (Т.Ф); м, и ъ, - случайные элементы, равновероятно распределенные в 


классах смежности Н,; и Н ‚ подгруппы С , соответственно; 1, } = 1,...,2“. Тогда: 


1) количество классов смежности по подгруппе С, в которые сумма элемен- 
тов у и у, по модулю 2" попадает с ненулевой вероятностью, равно 


2^, если В, >0, 
21, если В =0; 
а количество классов смежности, в которые сумма элементов у и ъ, по модулю 2" 
попадает с нулевой вероятностью, равно 
2°—2^, если В >0, 
2°—2/^1, если В =0; 
2) если Н, =Н ‚, то классы смежности, в которые разность элементов у, и у, 


по модулю 2" попадает с ненулевой вероятностью, имеют следующий вид: 


блок В, ,, блок А, блок В, блокВ, блок А, блок В, 


В... бит а, бит Ь, бит Ь› бит а бит В бит 
где блоки А, содержат либо только 0, либо 1, для любого 1=1....К, и 


количество этих классов смежности равно 


2^, если В, >0, 


К-—1 
2 ‚если В =0; 
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а количество классов смежности, в которые разность элементов у и у, по модулю 


2” попадает с нулевой вероятностью, равно 


2°—2^, если В >0, 


2“ 21, если В =0. 


При этом вероятности попадания разности элементов У и ъ, в различные 
классы смежности будут одинаковые при любом выборе класса смежности Н, 
(т.е. класса смежности, которому принадлежат у и ъ,) и будут зависеть только 


от вида подгруппы, по которой строятся эти классы смежности; 
3) ненулевые вероятности попадания суммы (разности) элементов у, и ъ, по 


модулю 2” в соответствующие классы смежности будут лежать в пределах от 


р р 
[4 до [р . 
пи 2 


Следует отметить, что если в подгруппе только «нулевые» блоки единичной 


длины, то количество классов смежности, в которые сумма векторов по модулю 2” 
попадает с ненулевой вероятностью, будет наибольшим. Если же «нулевые» блоки 
будут большой длины, то количество классов смежности, в которые сумма векторов 


по модулю 2” будет попадать с ненулевой вероятностью, уменьшается. Чем длиннее 
будут «нулевые» блоки, тем в меньшее количество классов смежности попадает 


сумма векторов по модулю 2” с ненулевой вероятностью, то есть перемешивающие 
свойства операции модульного сложения относительно побитового сложения будут 
зависеть от структуры подгруппы. 


Влияние операции побитового сложения на структуру 
факторгруппы (2..,+) по ее подгруппе 


2" 1 
Теорема 2. Пусть С, — подгруппа (2.,,+) индекса 2^. Тогда: 


1) С, (в соответствующем представлении) — подгруппа (7.,Ф); 


2) классы смежности по подгруппе С, (относительно операции +) имеют вид 
1+0. ,0<1<2”; 

3) классы смежности по подгруппе С, (относительно операции ® } имеют вид 
(ФО, ‚ причем ФС, =1+0,,0<1<2"; 

4) если »,у, ЕЁ1+С,, то с вероятностью 1 у Фу, ЕС,;0<1<2^; 

5) если у ,у, ЕЁ Ф С,, то с вероятностью 1 \—%ЕС,; 0<1<2^; 

6) если УЕТ+С,, у, Е ]+СЦ,, то с вероятностью 1 \ Фу, Е! Ф/-+С, ‚причем 
класс смежности 1® }+С, , вообще говоря, не совпадает с 1+] +0, 0<1,}1<2'; 


7) если» е1ФС,, у, Е /ФС,, то с вероятностью 1 У, +, ЕЁ +] +(,; 0<1]<2". 
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Из данной теоремы можно сделать следующий вывод: если подгруппа имеет 
структуру, описанную в п. 6) леммы 1, то есть для некоторого А =0,....п элементы 


этой подгруппы имеют следующий ВИД 
О. де 9 


нии 
пк бит К бит 
то операция побитового (модульного) сложения сохраняет структуру соответствующей 
факторгруппы относительно модульного (побитового) сложения. 


Анализ перемешивающих свойств операции 
умножения по модулю 2" на классах смежности, 
построенных по группе (2, ,+) 


Лемма 2. О структуре группы ( я Е 
1) Группа (2 
парные числа от 1 до 2” -1. 
2) Все подгруппы группы (2 ыы +) в битовом представлении имеют вид: 
Н, ={а.2*,0<а<2"* 1}, 
то есть каждый элемент из Н, имеет следующий вид: 
0... 0, 


п-—К бит К бит 


„›+) — циклическая группа, генераторами которой будут все не- 


для К=О...., И. 

Рассмотрим группу (7..,+). Все ее подгруппы будут иметь порядки 2”", к =0,....п,а 
индексами соответственно будут числа 2*, К=0.....п. 

Рассмотрим подгруппу Н группы [ ы =}. индекс которой равен 2^. Элементы 


этой подгруппы в битовом представлении будут иметь следующий вид: 
Е 


ая 0 
Выпишем все классы смежности по подгруппе Н: 
Н,=0+Н=0*-1, 1=0,..,2*-П; 
Н, =1+Н=*.1+1, 1=0,...2* 1; 
Н.=2*-1+Н={2*.1+2*-1, 1=0,.,2*—1}. 
Теорема 3. Пусть Н- подгруппа группы [ ый +) порядка 2”* и индекса 2^, 
К=0.....п; у, и у, — случайные элементы, которые равновероятно распределены в 


$ * ги. 4 К 
классах смежности 1+Н и }+Н, где 1, } Е 102 —1 } соответственно. Тогда 


У -У ЕЁ. ] (мод 2* + Н — т Е _ 
>” 2 ее сое 1, где 1, =\0,..,2 1}. 


Из полученных результатов можно сделать вывод, что операция умножения 
практически не разрушает структуру факторгруппы аддитивной группы |(7,, +). 


другими словами, операция модульного умножения относительно операции модуль- 
ного сложения будет обладать плохими перемешивающими свойствами. 
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Анализ перемешивающих ©: {67 (699: операции сложения 


по модулю 2” на классах смежности, построенных 
по группе (2..,х) 


Лемма 3. О структуре группы =. й х): 
1) группа И. ‚х) не будет циклической при п>3; 


2) элемент данной группы е=5 порождает ее циклическую подгруппу 
следующего вида: 


С={иеЕХ,, :и=4А+1 КЕМ}; 


3) эта подгруппа будет максимальной в том смысле, что если для некоторой 
* 
подгруппы С, выполняется: С, < С и Ц *С, то С =2,,. 


Теорема 4. Пусть Н -— подгруппа группы (7: х) порядка К=2,....2"* и со- 


"> 

п2 
ответствующего индекса т=2 гр 2 ИВ — соответствующие классы смеж- 
ности по подгруппе Н; ииу - случайные элементы, которые равновероятно 
распределены 6 этих классах смежности ой и На где ВЕ ОЕ соответ- 


ственно. Тогда 


У У, ЕД, р — 
я МЕН» № н, 50. где ь 1 Е\....т}. 


Из полученных результатов можно сделать вывод, что операция модульного 
сложения относительно операции модульного умножения будет также обладать пло- 


хими перемешивающими свойствами. Другими словами, операция сложения в кольце 


2„ не разрушает структуру факторгруппы мультипликативной группы кольца, по- 


строенной по ее любой подгруппе. 


Выводы 


Результаты, полученные в данной работе, характеризуют перемешивающие свойства 
операций побитового и модульного сложения, а также операций модульного сложения 
и умножения, заданных на одном носителе. 

Наиболее интересным является тот факт, что действие операции модульного сло- 
жения на факторгруппу относительно операции побитового сложения существенно зависит 


от выбора подгруппы в (7.,Ф), а действие операции побитового сложения сохраняет 
структуру соответствующей факторгруппы по любой подгруппе в [7 .а =). Операция ум- 


ножения в кольце 7, практически не разрушает структуру факторгруппы его аддитив- 


и. 
ной группы (по любой подгруппе). Аналогичное утверждение будет справедливо также и 
для операции сложения в этом кольце. 

Данный факт дает потенциальную возможность применять атаку гомоморфизмов 
(групповую атаку) при некоторых дополнительных условиях в том случае, когда в 
раундовых функциях блочного шифра используется чередование этих операций. 
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Л.В. Ковальчук, О.О. Сренко 

Анал!з перемппувальних властивостей операций, визначених на одному носй 

У стати аналлзуеться можливсть застосування атак гомоморфазмав (групових атак) до блочних шифрв 
у випадку, коли в раундових функщях використовуеться чергування р1зних операшй, таких як 
операций модульного та побтового додавання, а також модульного множення. Отриман! результати, 
як! характеризують перемппувальн! властивост! операши по@тового та модульного додавання на 
множин! дейкових вектор!в, а також результати, що характеризують перемппувальн! властивост! 


операщй додавання та множення в кльц! Иа : 


Г. КоущсрпиЕ, О. 5тепко 

Апа1у$1$ оГ МИхшрф Ееабиге$ 01 пе Орегайоп$, Эейпед оп Опе Сагтмег 

ТБе рарег 1$ 4еуое4 №0 Фе апа1у51$ оЁ Фе роз5Ииу оЁ пототогрЫ5т аИасК$ (отопр абасК) ю Фе Ыоск 
с1рБег ш Фе сазе \уВеп Фе гоип4 Еапсйоп$ зе фе пиегсвапее о# уаной$ ореганоп$ зас аз БИ\15е апа 
тодаг а44юоп, тодиаг по!арПсайоп. Зоте гези5 свагасбепите Фе пихше ргорегиез оЁ Ы\1зе апа 
тодаг а44юоп оп фе 5е{ ог Бштагу уесюг$ ап Фе гезиз Фа сБагасетте фе пихше ргорегиез оЁ 


а441юоп апа ти!арПсайоп ш Фе гие 2„ аге оБалтед. 


Статья поступила в редакцию 08.07.2011. 
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